प्लेटफ़ॉर्म
php
घटक
phpgurukul-online-shopping-portal-project
में ठीक किया गया
2.1.1
CVE-2026-5606 PHPGurukul ऑनलाइन शॉपिंग पोर्टल प्रोजेक्ट में एक SQL इंजेक्शन भेद्यता है। इस भेद्यता का शोषण करने से हमलावर डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं या डेटाबेस में हेरफेर कर सकते हैं। यह भेद्यता PHPGurukul ऑनलाइन शॉपिंग पोर्टल प्रोजेक्ट के संस्करण 2.1 को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
PHPGurukul Online Shopping Portal Project 2.1 में एक SQL इंजेक्शन भेद्यता (vulnerability) खोजी गई है। इसे CVE-2026-5606 के रूप में पहचाना गया है, और यह /order-details.php फ़ाइल में एक अज्ञात फ़ंक्शन को प्रभावित करता है, विशेष रूप से Parameter Handler घटक में। एक हमलावर 'orderid' तर्क को हेरफेर करके इस भेद्यता का फायदा उठा सकता है, जिससे अनधिकृत डेटाबेस एक्सेस, डेटा संशोधन या यहां तक कि सर्वर पर मनमाना कोड निष्पादन हो सकता है। चूंकि शोषण को दूरस्थ रूप से किया जा सकता है, इसलिए जोखिम अधिक है और सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। CVSS के अनुसार, गंभीरता को 6.3 के रूप में रेट किया गया है, जो मध्यम से उच्च जोखिम दर्शाता है। कोई उपलब्ध फिक्स (fix) नहीं होने से स्थिति और खराब हो गई है, जिसके लिए तत्काल मूल्यांकन और शमन की आवश्यकता है।
CVE-2026-5606 भेद्यता Online Shopping Portal Project 2.1 के Parameter Handler घटक के /order-details.php फ़ाइल में मौजूद है। एक हमलावर इस भेद्यता का फायदा उठाने के लिए एक दुर्भावनापूर्ण HTTP अनुरोध भेज सकता है जो 'orderid' तर्क को इंजेक्टेड SQL कोड के साथ हेरफेर करता है। इस इंजेक्टेड कोड का उपयोग अंतर्निहित डेटाबेस के खिलाफ मनमाना SQL क्वेरी निष्पादित करने के लिए किया जा सकता है। शोषण दूरस्थ है, जिसका अर्थ है कि हमलावर को सर्वर तक भौतिक पहुंच की आवश्यकता नहीं है। 'orderid' तर्क का उचित सत्यापन न होने के कारण, हमलावर SQL कोड इंजेक्ट कर सकते हैं, जिससे डेटा की अखंडता और गोपनीयता से समझौता हो सकता है। यह भेद्यता विशेष रूप से ई-कॉमर्स वातावरण में खतरनाक है, जहां क्रेडिट कार्ड विवरण और पते जैसी संवेदनशील ग्राहक जानकारी डेटाबेस में संग्रहीत होती है।
Organizations and individuals using the PHPGurukul Online Shopping Portal Project version 2.1, particularly those hosting their own instances or using shared hosting environments, are at risk. Sites with weak input validation or inadequate security configurations are especially vulnerable.
• php / web:
grep -r 'orderid=.*;' /var/www/html/order-details.php• generic web:
curl -I 'http://your-website.com/order-details.php?orderid='; # Check for SQL errors in response headersdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि डेवलपर से कोई आधिकारिक फिक्स (fix) प्रदान नहीं किया गया है, इसलिए CVE-2026-5606 को कम करने के लिए सक्रिय उपाय करने की आवश्यकता है। यदि उपलब्ध हो तो Online Shopping Portal Project के अधिक सुरक्षित संस्करण में अपग्रेड करने की हम दृढ़ता से अनुशंसा करते हैं। यदि कोई अपडेट उपलब्ध नहीं है, तो सभी उपयोगकर्ता इनपुट, विशेष रूप से 'orderid' तर्क के लिए सख्त इनपुट सत्यापन और सैनिटाइजेशन को लागू करना महत्वपूर्ण है। SQL इंजेक्शन को रोकने के लिए तैयार किए गए स्टेटमेंट या संग्रहीत प्रक्रियाओं का उपयोग करना एक बुनियादी अभ्यास है। इसके अतिरिक्त, एप्लिकेशन उपयोगकर्ता के लिए डेटाबेस एक्सेस अनुमतियों को न्यूनतम आवश्यक तक सीमित करने से शोषण की स्थिति में संभावित नुकसान को कम किया जा सकता है। 'orderid' तर्क के हेरफेर से संबंधित सर्वर लॉग में संदिग्ध गतिविधि की सक्रिय रूप से निगरानी करना भी एक महत्वपूर्ण निवारक उपाय है।
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro 'orderid', para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक हमला तकनीक है जो हमलावरों को डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है, जिससे अनधिकृत डेटा एक्सेस, डेटा संशोधन या मनमाना कोड निष्पादन हो सकता है।
यह भेद्यता हमलावरों को संवेदनशील उपयोगकर्ता जानकारी तक पहुंचने की अनुमति दे सकती है, जैसे व्यक्तिगत डेटा, भुगतान जानकारी और ऑर्डर विवरण।
यदि उपलब्ध हो तो प्रोजेक्ट के अधिक सुरक्षित संस्करण में अपग्रेड करने की हम दृढ़ता से अनुशंसा करते हैं। यदि यह संभव नहीं है, तो ऊपर वर्णित शमन उपायों को लागू करना महत्वपूर्ण है।
वर्तमान में, डेवलपर से कोई आधिकारिक फिक्स प्रदान नहीं किया गया है। इसलिए, सक्रिय शमन उपायों की आवश्यकता है।
'orderid' तर्क के हेरफेर से संबंधित सर्वर लॉग में संदिग्ध गतिविधि की सक्रिय रूप से निगरानी करना भी एक महत्वपूर्ण निवारक उपाय है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।